Total Wipe: destruição e
descarte de mídias
A destruição e descarte de mídias que, por opção do cliente ou problemas técnicos não possam ser sanitizadas, são realizadas pelo processo de perfuração por esmagamento, e as carcaças são descartadas conforme normas internacionais.
Ressaltamos que o certificado de destruição, além do registro fotográfico, apresenta a relação das mídias destruídas gerado a partir da leitura dos respectivos códigos de barras, identificando fabricante/modelo/no. de série e data da mídia destruída.
Normas de Segurança para descarte de Mídias
NIST SP 800-88
National Institute of Standards and Technology
Publication 800-88 Revision 1 Natl. Inst. Stand. Technol. Spec. Publ. Draft 800-88 r1, (August, 2012)
Norma NIST SP 800-88 – Pag. 18, 19
Uma decisão chave na sanitização é o planejamento ou definição da reutilização ou reciclagem das mídias. Algumas formas de mídia muitas vezes são reutilizadas para conservar os recursos da organização.
Se as mídias não se destinam para reutilização dentro ou fora de uma organização devido a danos ou outra razão, o método mais simples e mais econômico de controle pode ser a destruição.
Se as mídias não se destinam para reutilização dentro ou fora de uma organização devido a danos ou outra razão, o método mais simples e mais econômico de controle pode ser a destruição.
Um fator que deve influenciar uma decisão organizacional sobre sanitização, é quem tem acesso às mídias e respectivo controle. Este aspecto deve ser considerado quando a mídia deixa de ficar sob controle organizacional. O controle de mídias pode ser transferido quando as mídias estiverem retornando de um contrato de locação (leasing), ou estiverem sendo doadas ou revendidas para serem reutilizadas fora da organização.
- Mídias sendo entregues para manutenção são ainda consideradas sob controle da organização;
- Na existência de acordos contratuais com a Organização e o provedor de manutenção, este acordo prevê especificamente a confidencialidade das informações.
- Na existência de acordos contratuais com a Organização e o provedor de manutenção, este acordo prevê especificamente a confidencialidade das informações.
- Mídias que estão sendo trocadas por garantia, redução de custo ou outros fins, e onde os meios de comunicação específicos não serão devolvidos à organização, são consideradas fora de controle organizacional. Porém a informações que por ventura estiverem nestas mídias continuam sendo de responsabilidade de seus proprietários, não do fornecedor.
Mesmo dentro de uma organização podem ser estabelecidas condições variando nível de proteção de dados. Por exemplo, uma empresa pode ter um departamento de engenharia e um departamento de vendas. O pessoal de vendas pode não ter a necessidade de acesso aos dados detalhados como os técnicos em relação aos códigos-fonte proprietários e os esquemas, assim como os engenheiros podem não ter uma necessidade de acessar o perfil de clientes da empresa. Ambos estão dentro da mesma categorização de confidencialidade, mas, contextualmente, diferentes e com diferentes regras internas e externas em matéria de controles necessários. Como tal, o nível de proteção de dados é uma consideração complementar de controle organizacional. Ao identificar se a sanitização é necessária, tanto o controle organizacional como o nível de proteção de dados, devem ser consideradas.
Uma vez concluída na organização uma avaliação do seu sistema de confidencialidade, se determinou a necessidade de tratamento de informação, determinou prazos adequados para higienização, determinou os tipos de mídia utilizados e a disposição das mídias, uma decisão eficaz, baseada em riscos pode ser feita no nível adequado e necessário de sanitização. Novamente, tipos de mídias e fatores ambientais podem atuar para mudar o nível de sanitização. Por exemplo, ter cópias em papel geralmente não faz sentido, então destruí-las seria uma alternativa aceitável.
Após a conclusão do processo de decisão de sanitização, a organização deve registrar a decisão e assegurar um processo e recursos adequados para apoiar estas decisões. Este processo é muitas vezes a parte mais difícil do processo de sanitização de mídia, porque inclui não só o ato de sanitização, mas também a validação: capturando as decisões e ações, identificando recursos e tendo críticos interfaces com funcionários-chave.
Após a conclusão do processo de decisão de sanitização, a organização deve registrar a decisão e assegurar um processo e recursos adequados para apoiar estas decisões. Este processo é muitas vezes a parte mais difícil do processo de sanitização de mídia, porque inclui não só o ato de sanitização, mas também a validação: capturando as decisões e ações, identificando recursos e tendo críticos interfaces com funcionários-chave.
Verificar a sanitização de informações selecionadas e o processo de eliminação é um passo essencial na manutenção da confidencialidade. Dois tipos de verificação devem ser considerados.
A primeira é a verificação a cada vez que a sanitização é aplicada (se for o caso, como a maioria das técnicas de destruição não suporta verificação prática para cada peça de mídia sanitizada).
A segunda é uma verificação de amostras representativas, aplicada a um subconjunto selecionado da mídia. Se a amostragem é feita após a verificação completa em casos de tolerância ao risco baixo, então deve ser usada uma ferramenta de validação separado da utilizada na verificação da original.
A primeira é a verificação a cada vez que a sanitização é aplicada (se for o caso, como a maioria das técnicas de destruição não suporta verificação prática para cada peça de mídia sanitizada).
A segunda é uma verificação de amostras representativas, aplicada a um subconjunto selecionado da mídia. Se a amostragem é feita após a verificação completa em casos de tolerância ao risco baixo, então deve ser usada uma ferramenta de validação separado da utilizada na verificação da original.
A verificação do processo de higienização não é a única garantia exigida pela organização. Se a organização está usando ferramentas de Sanitização (por exemplo, um desmagnetizador ou uma estação de trabalho dedicada), é necessário uma manutenção, calibração e testes desses equipamentos antes e depois.
A verificação do processo de higienização não é a única garantia exigida pela organização. Se a organização está usando ferramentas de Sanitização (por exemplo, um desmagnetizador ou uma estação de trabalho dedicada), é necessário uma manutenção, calibração e testes desses equipamentos antes e depois.
Outro elemento-chave é o potencial de necessidades de formação e experiência atual de pessoal, que conduz a sanitização. As organizações devem assegurar que os operadores de equipamentos são competentes para executar funções de sanitização.
O objetivo de verificação de sanitização é garantir que os dados de destino foram efetivamente higienizados. Quando suportada pela interface do dispositivo (como um disco rígido ATA ou SCSI ou drive de estado sólido), o mais alto nível de garantia de sanitização eficaz (fora de um laboratório) normalmente é alcançado por uma leitura completa de todas as áreas acessíveis para certificar que o valor esperado e higienizado foi em todos os locais endereçáveis completamente verificados, considerando que isso deve ser realizado se o tempo e fatores externos permitirem. Esta maneira de verificação normalmente só se aplica quando o dispositivo está em um estado operacional após higienização para que os dados possam ser lidos e escritos por meio da interface nativa.
Se uma organização determina um representante para amostragem, ele submeterá esse processo a três objetivos principais aplicados para verificação de sanitização de mídia eletrônica.
1 - Selecione números pseudoaleatórios de mídias cada vez que a ferramenta de análise é aplicada. Isso reduz a probabilidade de que uma ferramenta de sanitização que desinfeta apenas um subconjunto selecionado das mídias irá comprovar o sucesso de verificação em uma situação onde dados sensíveis ainda permanecem.
2 - Selecione locais através do espaço endereçável. Por exemplo, conceitualmente divida os meios de comunicação em subseções de tamanhos iguais. Selecione um número suficientemente grande de subseções para que a mídia esteja bem coberta. O número de subseções práticas varia de acordo com o dispositivo e o esquema de endereçamento. O número mínimo sugerido de subseções para discos rígidos utilizando endereçamento LBA é mil. Selecione pelo menos dois conjuntos de dados fixos dentro de cada subseção. Por exemplo, se mil subseções conceituais são escolhidas, pelo menos dois locais pseudoaleatórios na milésima primeira posição da mídia devem ser lidos e verificados, e assim por diante.
Além dos locais já identificados deve-se incluir a primeira e a última localização endereçável no dispositivo de armazenamento.
3 - Cada local selecionado (exceto aqueles para a primeira e a última localização endereçável) deve cobrir pelo menos 5% da subseção e não se sobrepor a outra amostra na subseção. Dadas duas amostras não sobrepostas, a verificação resultante deve cobrir pelo menos 10% dos meios de comunicação uma vez que todas as subseções tiveram duas amostras colhidas.
Se uma organização determina um representante para amostragem, ele submeterá esse processo a três objetivos principais aplicados para verificação de sanitização de mídia eletrônica.
1 - Selecione números pseudoaleatórios de mídias cada vez que a ferramenta de análise é aplicada. Isso reduz a probabilidade de que uma ferramenta de sanitização que desinfeta apenas um subconjunto selecionado das mídias irá comprovar o sucesso de verificação em uma situação onde dados sensíveis ainda permanecem.
2 - Selecione locais através do espaço endereçável. Por exemplo, conceitualmente divida os meios de comunicação em subseções de tamanhos iguais. Selecione um número suficientemente grande de subseções para que a mídia esteja bem coberta. O número de subseções práticas varia de acordo com o dispositivo e o esquema de endereçamento. O número mínimo sugerido de subseções para discos rígidos utilizando endereçamento LBA é mil. Selecione pelo menos dois conjuntos de dados fixos dentro de cada subseção. Por exemplo, se mil subseções conceituais são escolhidas, pelo menos dois locais pseudoaleatórios na milésima primeira posição da mídia devem ser lidos e verificados, e assim por diante.
Além dos locais já identificados deve-se incluir a primeira e a última localização endereçável no dispositivo de armazenamento.
3 - Cada local selecionado (exceto aqueles para a primeira e a última localização endereçável) deve cobrir pelo menos 5% da subseção e não se sobrepor a outra amostra na subseção. Dadas duas amostras não sobrepostas, a verificação resultante deve cobrir pelo menos 10% dos meios de comunicação uma vez que todas as subseções tiveram duas amostras colhidas.